楊莉 王強(qiáng) 隋建鵬 吳麗娜

（1.中國(guó)第一汽車集團(tuán)有限公司智能網(wǎng)聯(lián)開(kāi)發(fā)院，長(zhǎng)春 130011；2.汽車振動(dòng)噪聲與安全控制綜合技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室，長(zhǎng)春 130013；3.中共吉林省委黨校，長(zhǎng)春 130012）

主題詞：ISO 26262 功能安全 失效模式和診斷策略分析 準(zhǔn)確度 慣性傳感系統(tǒng)

1 前言

ISO 26262《道路車輛功能安全》[1]于2011 年誕生，我國(guó)于2017 年發(fā)布了GB/T 34590《道路車輛 功能安全》[2]。2011 年以來(lái)，汽車行業(yè)內(nèi)對(duì)功能安全標(biāo)準(zhǔn)的理解和應(yīng)用不斷深入[3-7]。在系統(tǒng)功能安全設(shè)計(jì)中，汽車安全完整性等級(jí)（Automotive Safety Integration Level，ASIL）評(píng)估的重要手段為失效模式和診斷策略分析（Failure Mode Effect and Diagnostic Analysis，F(xiàn)MEDA）。

在汽車電子硬件設(shè)計(jì)領(lǐng)域，F(xiàn)MEDA 是驗(yàn)證硬件架構(gòu)的有效手段，然而ISO 26262 和GB/T 34590 對(duì)該方法的闡述并不足以支持實(shí)際硬件設(shè)計(jì)工作中FMEDA分析的開(kāi)展，行業(yè)內(nèi)也并未公開(kāi)FMEDA 分析的具體實(shí)施細(xì)則和實(shí)施方法。為此，本文分析FMEDA 的流程及其關(guān)鍵因素，提出FMEDA三維準(zhǔn)確度驗(yàn)證方法，并以慣性傳感系統(tǒng)為例闡述其應(yīng)用過(guò)程。

2 ASIL評(píng)估依據(jù)

依據(jù)ISO 26262的規(guī)定，ASIL的評(píng)估方法為計(jì)算系統(tǒng)的硬件架構(gòu)度量，并用其評(píng)估整個(gè)系統(tǒng)硬件架構(gòu)對(duì)元器件隨機(jī)硬件失效的處理能力。這些度量針對(duì)的隨機(jī)硬件失效限于系統(tǒng)中安全相關(guān)的電子電氣硬件/元器件，即對(duì)安全目標(biāo)的違背或?qū)崿F(xiàn)有顯著影響的元器件，并限于這些元器件的單點(diǎn)/殘余失效和潛伏失效。硬件架構(gòu)度量取決于系統(tǒng)整體硬件設(shè)計(jì)。系統(tǒng)涉及的每個(gè)安全目標(biāo)都應(yīng)符合規(guī)定的硬件架構(gòu)度量目標(biāo)值。定義這些硬件架構(gòu)度量可以實(shí)現(xiàn)下列目標(biāo)：

a.客觀上可評(píng)估，即度量可核實(shí)且足夠精確。

b.基于詳細(xì)的硬件設(shè)計(jì)完成精確計(jì)算，支持最終設(shè)計(jì)的評(píng)估。

c.為硬件架構(gòu)提供ASIL的合格/不合格準(zhǔn)則。

d.顯示用于防止硬件架構(gòu)中單點(diǎn)/殘余失效和潛伏失效風(fēng)險(xiǎn)的安全機(jī)制診斷覆蓋率是否足夠。

FMEDA 是計(jì)算硬件架構(gòu)度量值的有效手段。FMEDA 針對(duì)每一個(gè)安全目標(biāo)，考慮系統(tǒng)物料清單（Bill of Material，BOM）中所有元器件的所有失效模式，依據(jù)元器件在系統(tǒng)工作環(huán)境下整個(gè)生命周期內(nèi)的失效率，根據(jù)系統(tǒng)軟件的診斷方式和診斷覆蓋率，利用Excel工具，按照ISO 26262 及GB/T 34590.10《道路車輛 功能安全第10部分：指南》中規(guī)定的單點(diǎn)或殘余失效度量計(jì)算公式、潛在多點(diǎn)失效度量計(jì)算公式及隨機(jī)硬件失效率計(jì)算公式，計(jì)算出系統(tǒng)的單點(diǎn)故障度量（Single Point Fault Metric，SPFM）、潛在故障度量（Latent Fault Metric，LFM）和隨機(jī)硬件失效概率度量（Probabilistic Metric for random Hardware Failures，PMHF）值，將計(jì)算結(jié)果與ISO 26262中規(guī)定的安全等級(jí)評(píng)估指標(biāo)進(jìn)行對(duì)比，即可得到系統(tǒng)對(duì)于每一個(gè)安全目標(biāo)的安全等級(jí)，進(jìn)而得到系統(tǒng)的安全等級(jí)。系統(tǒng)所有功能安全目標(biāo)的最高安全等級(jí)即為系統(tǒng)的安全等級(jí)。安全等級(jí)評(píng)估指標(biāo)如表1所示。

表1 ISO 26262功能安全等級(jí)評(píng)估指標(biāo)

評(píng)估指標(biāo)中，單點(diǎn)失效度量計(jì)算公式為：

潛在失效度量計(jì)算公式為：

隨機(jī)硬件失效計(jì)算公式為[8]：

式中，∑safetyrelated,HW為安全相關(guān)元器件有關(guān)參數(shù)的和；λ為元器件在整車工作環(huán)境下的硬件隨機(jī)失效率；λSPF為單點(diǎn)失效率；λRF為殘余失效率；λMPF,Latent為潛在多點(diǎn)失效率；MPMHF為隨機(jī)硬件失效率度量指標(biāo)；λsm,DPFLatent為安全機(jī)制（Safety Mechanism，SM）的潛在雙點(diǎn)失效率；TLifetime為產(chǎn)品生命周期。

當(dāng)不考慮安全機(jī)制的失效率時(shí)，隨機(jī)硬件失效率的計(jì)算公式為：

3 FMEDA分析流程及關(guān)鍵因素

依據(jù)ISO 26262-5 中示例的分析方法，對(duì)安全等級(jí)分析頁(yè)的格式進(jìn)行了改進(jìn)，如圖1所示。

改進(jìn)點(diǎn)包括：明確安全目標(biāo)、安全狀態(tài)和安全等級(jí)需求；明確度量指標(biāo)目標(biāo)結(jié)果；刪除對(duì)計(jì)算結(jié)果沒(méi)有影響的總失效率和非安全相關(guān)總失效率；明確每個(gè)單元格計(jì)算公式及填充準(zhǔn)則。

FMEDA的具體分析過(guò)程為：

圖1 改進(jìn)的安全等級(jí)分析頁(yè)示意

a.根據(jù)整車生命周期定義系統(tǒng)的生命周期及每年工作時(shí)間、工作環(huán)境。例如：生命周期為12 a，每年工作時(shí)間為8 750 h，環(huán)境溫度為-40～85 ℃。

b.計(jì)算元器件BOM 中每個(gè)元器件的失效時(shí)間（Failure in Time，F(xiàn)IT），生命周期、每年工作時(shí)間、工作環(huán)境直接影響元器件的FIT。FIT的定義很大程度上決定功能安全等級(jí)的評(píng)估結(jié)果能否滿足需求。

c.定義每個(gè)元器件的失效模式及失效百分比，其中電阻、電容、電感等的失效模式包括引腳開(kāi)路和引腳短路。

d.分析每個(gè)元器件是否為安全相關(guān)器件，并填充在“是否為安全相關(guān)”列中，其依據(jù)是元器件失效是否會(huì)導(dǎo)致安全目標(biāo)的違背或者使系統(tǒng)不能進(jìn)入安全狀態(tài)。在考慮不同的安全目標(biāo)時(shí)，同一元器件失效的影響可能不同。

e.分析每個(gè)元器件的每種失效模式是否對(duì)安全目標(biāo)有影響，并填充在“失效是否有影響”列中。

f.針對(duì)影響安全目標(biāo)的失效，分析其失效種類屬于單點(diǎn)/殘余失效或者潛在失效，并分析系統(tǒng)對(duì)該失效的診斷方式，填充診斷覆蓋率。依據(jù)ISO 26262 中對(duì)各種失效的定義，單點(diǎn)/殘余失效中未被診斷方式覆蓋的部分會(huì)產(chǎn)生潛在多點(diǎn)失效。

g.根據(jù)式（1）～式（4），計(jì)算系統(tǒng)的SPFM、LFM、PMHF，并與表1中的評(píng)估指標(biāo)進(jìn)行對(duì)比，得到系統(tǒng)的功能安全等級(jí)。需要說(shuō)明的是，目前對(duì)于PMHF的計(jì)算，通常選擇故障樹(shù)分析法（Fault Tree Analysis，F(xiàn)TA），并采用專業(yè)的可靠性分析軟件，例如isograph，F(xiàn)MEDA 表格中的計(jì)算結(jié)果僅作為參考。

由以上分析流程可見(jiàn)，F(xiàn)MEDA 的關(guān)鍵因素包括：FIT；器件失效百分比分布；診斷覆蓋率；器件是否為安全相關(guān)器件的判斷；單點(diǎn)失效及潛在失效的判斷；失效診斷方式的設(shè)計(jì)。

4 FMEDA三維準(zhǔn)確度驗(yàn)證方法

為了保證FMEDA 結(jié)果的準(zhǔn)確性和可靠性，從3 個(gè)維度進(jìn)行驗(yàn)證。

4.1 數(shù)據(jù)來(lái)源驗(yàn)證

依據(jù)SN 29500[9]標(biāo)準(zhǔn)及生命周期、工作時(shí)間、工作環(huán)境的定義計(jì)算BOM 中每個(gè)元器件的FIT。復(fù)雜芯片的FIT有3個(gè)來(lái)源：利用供應(yīng)商提供的芯片級(jí)FMEDA結(jié)果；參考芯片歷史失效率信息，即返回品百萬(wàn)分之一（Part Per Million，PPM）值；參考同系列芯片的FIT。

失效百分比來(lái)自于可靠性分析經(jīng)典書籍《可靠性工程：理論與實(shí)踐》[10]。復(fù)雜芯片的失效模式包括功能性失效和引腳失效。功能性失效的失效模式來(lái)源于供應(yīng)商提供的芯片級(jí)FMEDA結(jié)果；引腳失效包括引腳開(kāi)路、鉗位在高電平、鉗位在低電平及與相鄰引腳短路。

診斷覆蓋率的定義依據(jù)ISO 26262-5[1]附錄D 中的規(guī)定。

4.2 分析過(guò)程驗(yàn)證

分析過(guò)程應(yīng)盡量自動(dòng)化[11]，采用專業(yè)分析軟件是最佳的途徑，例如基于模型的功能安全管理軟件MA（Medini Analyze）。如果使用Excel，推薦利用VBA（Visual Basic for Applications）編輯宏代碼，不僅能提高工作效率，而且可以有效避免人為錯(cuò)誤，分析過(guò)程為：

a.利用VBA 將原理圖繪制工具軟件生成的BOM直接導(dǎo)入，根據(jù)SN 29500進(jìn)行對(duì)照檢查，并對(duì)相同元器件種類的FIT進(jìn)行橫向?qū)Ρ?；在進(jìn)行安全等級(jí)分析計(jì)算時(shí)，利用VBA 在FIT 計(jì)算頁(yè)查找元器件位號(hào)，并將對(duì)應(yīng)的FIT值自動(dòng)填入安全等級(jí)分析頁(yè)的“FIT值”列。

b.為了保證失效百分比的可靠性，對(duì)相同元器件種類的失效百分比分布進(jìn)行橫向?qū)Ρ?。同時(shí)利用VBA檢查每個(gè)元器件的失效百分比分布總和是否等于100%。

c.單獨(dú)建立診斷覆蓋率頁(yè)，定義每種診斷方式的診斷覆蓋率。根據(jù)ISO 26262對(duì)診斷覆蓋率的定義進(jìn)行檢查，并利用VLOOKUP函數(shù)使得安全等級(jí)分析頁(yè)在填入診斷方式時(shí)可自動(dòng)查找診斷覆蓋率的定義值并自動(dòng)填充。

d.利用VBA 可以對(duì)每個(gè)安全目標(biāo)的分析頁(yè)分別運(yùn)行自動(dòng)檢查。

安全分析頁(yè)自動(dòng)檢查流程為：

a.“FIT值”列是否有空值。

b.同一個(gè)器件所有行的“FIT值”列是否相同。

c.“是否為單點(diǎn)失效或殘余失效”列設(shè)置為“×”時(shí)，“是否為安全相關(guān)”列是否為空。

d.“是否為潛在多點(diǎn)失效”列設(shè)置為“×”時(shí)，“是否為安全相關(guān)”列是否為空。

e.安全相關(guān)元器件“是否為單點(diǎn)失效或殘余失效”列和“是否為潛在多點(diǎn)失效”列是否同時(shí)為空。

f.每一個(gè)失效模式的單點(diǎn)失效率或殘余失效率的計(jì)算公式是否正確。

g.每一個(gè)失效模式的潛在多點(diǎn)失效率的計(jì)算公式是否正確。

4.3 失效判斷驗(yàn)證

對(duì)器件是否為安全器件的判斷直接影響安全相關(guān)器件總FIT 值的計(jì)算。其判斷依據(jù)為器件的某種失效模式是否會(huì)導(dǎo)致違背安全目標(biāo)，是否能夠使系統(tǒng)進(jìn)入安全狀態(tài)。對(duì)于失效種類的判斷，嚴(yán)格按照ISO 26262-5[1]中對(duì)于失效的定義進(jìn)行。為了便于校對(duì)和評(píng)審，每一條與安全相關(guān)的失效模式應(yīng)附加對(duì)分析理由的解釋說(shuō)明。

為了得到最壞情況下的度量指標(biāo)值，單點(diǎn)失效/殘余失效中未被診斷機(jī)制檢測(cè)到的部分，應(yīng)計(jì)入多點(diǎn)失效部分。也就是說(shuō)，診斷覆蓋率為非100%的與安全相關(guān)的單點(diǎn)失效，必定會(huì)產(chǎn)生多點(diǎn)失效。同時(shí)，基于上述考慮，分析過(guò)程中采用單點(diǎn)失效與多點(diǎn)失效的診斷機(jī)制應(yīng)不同。

5 慣性傳感系統(tǒng)FMEDA分析

經(jīng)過(guò)危害與風(fēng)險(xiǎn)分析（Hazard Analysis and Risk Assessment，HARA）[12]，慣性測(cè)量單元（Inertial Measurement Unit，IMU）的安全目標(biāo)為避免發(fā)送錯(cuò)誤的加速度或角速度信息，安全狀態(tài)為設(shè)置信號(hào)標(biāo)志位為無(wú)效，或停止CAN總線發(fā)送，或復(fù)位系統(tǒng)。ASIL等級(jí)要求為ASIL D。

目前，行業(yè)內(nèi)尚沒(méi)有能夠達(dá)到ASIL D 等級(jí)的慣性傳感器芯片，因此，基于ASIL 等級(jí)分解[13]的理念，系統(tǒng)采用雙路冗余的ASIL B慣性傳感器芯片實(shí)現(xiàn)。為了實(shí)現(xiàn)信號(hào)的多樣性，采用2片型號(hào)完全一致的慣性傳感器芯片，并在印制電路板（Printed Circuit Board，PCB）中采用不同的方向放置：一片為U/V方向，另一片為X/Y方向。其中Y軸平行于地面指向整車行駛方向，X軸指向駕駛員左側(cè)，U、V軸平行于地面，由Y軸分別向駕駛員右側(cè)和左側(cè)旋轉(zhuǎn)45°得到。

IMU 的主要電路設(shè)計(jì)原理圖如圖2 所示。IMU 主要包括慣性傳感器芯片、CAN 收發(fā)器芯片、電源管理及產(chǎn)生芯片、主控單片機(jī)芯片、輔控單片機(jī)芯片、連接器等。

5.1 FIT計(jì)算

慣性傳感器芯片、電源管理及產(chǎn)生芯片、主控制芯片的FIT 來(lái)自于供應(yīng)商提供的芯片級(jí)FMEDA 結(jié)果；其他器件的FIT 依據(jù)SN 29500 計(jì)算。主要器件的FIT 如表2所示。

5.2 定義失效百分比及診斷覆蓋率

定義診斷覆蓋率需要與軟件開(kāi)發(fā)工程師充分溝通，以確認(rèn)有條件開(kāi)展的診斷種類。IMU 主要器件的失效百分比如表3和表4所示，診斷覆蓋率如表5所示。

5.3 根據(jù)硬件工作原理判斷失效種類及診斷種類

根據(jù)安全目標(biāo)對(duì)應(yīng)的安全狀態(tài)可以推斷電源失效、主控制功能失效（包括時(shí)鐘失效、復(fù)位失效、終端失效、CAN 收發(fā)失效等）、慣性傳感器芯片失效、CAN 通信相關(guān)器件失效等均為安全相關(guān)失效。

圖2 IMU電路原理

表2 IMU系統(tǒng)主要器件FIT

最終計(jì)算結(jié)果為：SPFM=99.80%，LFM=96.72%，PMHF=0.378 8 h-1，滿足ASIL D等級(jí)對(duì)硬件架構(gòu)度量指標(biāo)的要求。

表3 IMU主要器件失效百分比 %

表4 IMU連接器失效百分比 %

表5 IMU診斷覆蓋率定義 %

6 結(jié)束語(yǔ)

本文在總結(jié)FMEDA 分析流程和關(guān)鍵因素的基礎(chǔ)上，提出了FMEDA分析結(jié)果的三維準(zhǔn)確度驗(yàn)證方法，并以慣性傳感器系統(tǒng)為例，闡述了該方法的應(yīng)用過(guò)程。所提出的三維準(zhǔn)確度驗(yàn)證方法從數(shù)據(jù)來(lái)源、分析過(guò)程、失效判斷3個(gè)維度驗(yàn)證了FMEDA定量分析的準(zhǔn)確性。